Accès rapide:

Final Report on EBA Guidelines on outsourcing arrangements, en date du 25 Février 2019

EUROPE: l’EBA publie ses lignes directrices concernant l’externalisation

Ce document résulte d’une consultation lancée en Juin dernier, dans le contexte de la mise en place des dispositions relatives à la protection des données à caractère personnel (RGPD).

Il ressort de ces lignes directrices de l’EBA sur l’externalisation qui seront applicables à compter du 30 septembre 2019, la nécessité de mettre en place d’une véritable politique d’externalisation dans une logique de pilotage consolidé et centralisé.

Quelques pratiques à considérer:

le registre des externalisations

Les établissements assujettis, (crédit et paiement)  doivent tenir à jour un registre des externalisations et maintenir une documentation appropriée des contrats d’externalisation.

Ce registre peut être géré de façon centralisée au niveau d’un groupe (art.23) et devrait contenir les informations suivantes (art. 54) :

  1. un numéro de référence pour chaque arrangement d’impartition;
  2. la date de début et, le cas échéant, la date de renouvellement du contrat suivante, la date de fin et / ou les délais de préavis du prestataire de services et de l’établissement ou de l’établissement de paiement;
  3. une brève description de la fonction externalisée, y compris des données externalisées et indiquant si des données à caractère personnel (par exemple en fournissant un oui ou un non dans un champ de données séparé) ont été transférées ou si leur traitement est externalisé à un prestataire de services;
  4. une catégorie attribuée par l’établissement ou l’établissement de paiement qui reflète la nature de la fonction décrite au point c) (par exemple, technologie de l’information, fonction de contrôle), ce qui devrait faciliter l’identification de différents types de dispositifs;
  5. le nom du fournisseur de services, le numéro d’enregistrement de la société, l’identifiant de l’entité légale (le cas échéant), l’adresse enregistrée et les autres coordonnées pertinentes, ainsi que le nom de la société mère (le cas échéant);
  6. le ou les pays où le service doit être exécuté, y compris l’emplacement (c’est-à-dire le pays ou la région) des données;
  7. si oui ou non (la fonction externalisée) est considérée comme critique ou importante, y compris, le cas échéant, un bref résumé des raisons pour lesquelles la fonction externalisée est considérée comme critique ou importante;
  8. dans le cas d’une sous-traitance auprès d’un fournisseur de services cloud, le service cloud et les modèles de déploiement, c’est-à-dire public / privé / hybride / communauté, et la nature spécifique des données à stocker et les emplacements (c’est-à-dire les pays ou les régions) où ces données seront utilisées. être stocké;
  9. la date de la dernière évaluation de la criticité ou de l’importance de la fonction sous-traitée.

Pour l’externalisation de fonctions essentielles OU critiques (art. 55), le registre devrait comporter les informations suivantes:

  1. les établissements, établissements de paiement et autres entreprises relevant, le cas échéant, du système de consolidation prudentielle ou du système de protection institutionnelle, qui font appel à la sous-traitance;
  2. si le prestataire de services ou le sous-prestataire de services fait partie du groupe ou est membre du système de protection institutionnel ou est la propriété d’institutions ou d’établissements de paiement appartenant au groupe, ou appartient à des membres d’un système de protection institutionnel;
  3. la date de la dernière évaluation des risques et un bref résumé des principaux résultats;
  4. la personne ou l’organe de décision (par exemple, l’organe de direction) de l’établissement ou de l’établissement de paiement qui a approuvé le contrat de sous-traitance;
  5. la loi applicable à la convention d’impartition;
  6. les dates des derniers audits et des prochains audits programmés, le cas échéant;
  7. le cas échéant, les noms des sous-traitants auxquels des parties importantes d’une fonction critique ou importante sont sous-traitées, y compris le pays dans lequel les sous-traitants sont enregistrés, le lieu où le service sera exécuté et, le cas échéant, le lieu ( c’est-à-dire pays ou région) où les données seront stockées;
  8. l’issue de l’évaluation de la substituabilité du prestataire de services (facile, difficile ou impossible), de la possibilité de réintégrer une fonction essentielle ou importante dans l’institution ou l’établissement de paiement ou de l’impact de la suppression de la fonction essentielle ou importante;
    je. identification de fournisseurs de services alternatifs conformément au point h);
  9. si la fonction critique ou importante externalisée prend en charge des opérations commerciales urgentes;
  10. le coût budgétaire annuel estimé.

Par ailleurs, ce registre doit être accessible aux autorités de supervision, sur demande (Art. 56).

L’évaluation des risques

Avant la contractualisation: l’analyse préliminaire

Avant de contractualiser la relation d’externalisation, les lignes directrices de l’EBA imposent de procéder à une évaluation du prestataire (Art. 61).

  1. évaluer si le contrat de sous-traitance concerne une fonction essentielle ou importante au sens du titre II;
  2. évaluer si les conditions de surveillance de la sous-traitance énoncées à la section 12.1 sont remplies;
  3. identifier et évaluer tous les risques pertinents de l’accord d’externalisation conformément à la section 12.2;
  4. procéder à une vérification préalable appropriée du fournisseur de services potentiel, conformément à la section 12.3;
  5. identifier et évaluer les conflits d’intérêts que l’externalisation peut causer conformément à la section 8

Les établissements assujettis doivent s’assurer de la conformité réglementaire de l’externalisation (Art.63)

Due diligence sur le prestataire

Les établissement doivent procéder à une diligence raisonnable de leur prestataire (Art. 69 et suivants), intégrée à leur processus de sélection de prestataire.

La réputation du prestataire est un facteur à prendre en compte (Art.70), ainsi que ses capacités appropriées et suffisantes, son expertise, ses ressources (humaines, informatiques, financières, etc.), sa structure organisationnelle. et, le cas échéant, la ou les autorisations réglementaires ou l’enregistrement (s) requis pour exercer la fonction critique ou importante de manière fiable et professionnelle afin de respecter ses obligations tout au long du projet de contrat.

L’EBA suggère la prise en compte de facteurs supplémentaires  lors de la diligence raisonnable d’un fournisseur de services potentiel incluent, sans toutefois s’y limiter:

  1. une. son modèle économique, sa nature, son ampleur, sa complexité, sa situation financière, sa propriété et la structure du groupe;
  2. les relations à long terme avec les fournisseurs de services qui ont déjà été évaluées et fournissent des services pour l’établissement ou l’établissement de paiement;
  3. si le prestataire de services est une entreprise mère ou une filiale de l’établissement ou de l’établissement de paiement, fait partie du périmètre comptable de consolidation de l’établissement ou est membre ou est la propriété d’établissements membres du même système de protection de l’établissement auquel le l’institution appartient;
  4. que le prestataire de services soit ou non supervisé par les autorités compétentes.

Conformité RGPD exigée

L’article 72, établi le lien avec le RGPD. Le prestataire doit être conforme aux exigences du RGPD.

Quand l’éthique et la RSE devient un critère d’évaluation

L’article 73 introduit une notion importante:

Les institutions et les établissements de paiement devraient prendre les mesures appropriées pour que les prestataires de services agissent conformément à leurs valeurs et à leur code de conduite.

En particulier, en ce qui concerne les prestataires de services situés dans des pays tiers et, le cas échéant, leurs sous-traitants, institutions et  établissements de paiement, devraient être convaincus que les prestataires de services agissent de manière éthique et socialement responsable et respectent les normes internationales relatives aux droits de l’homme ( par exemple, la Convention européenne des droits de l’homme), la protection de l’environnement et des conditions de travail appropriées, y compris l’interdiction du travail des enfants.

Les risques liés à l’externalisation

Dans le cadre de l’évaluation des risques, les établissements et les établissements de paiement devraient également prendre en compte les avantages et les coûts attendus de l’accord d’externalisation proposé, notamment en évaluant les risques susceptibles d’être réduits ou mieux gérés par rapport à ceux pouvant résulter de l’accord d’externalisation proposé. en prenant en compte au moins (Art. 66):

  1. risques de concentration, notamment:
    • i. la sous-traitance à un fournisseur de services dominant qui n’est pas facilement substituable; et
    • ii. plusieurs accords d’externalisation avec le même fournisseur de services ou des fournisseurs de services étroitement liés;
  2. les risques agrégés résultant de la sous-traitance de plusieurs fonctions au sein de l’institution ou de l’établissement de paiement et, dans le cas de groupes d’établissements ou de systèmes de protection institutionnels, les risques agrégés sur une base consolidée ou sur la base du système de protection de l’établissement;
  3. dans le cas d’institutions importantes, le risque de substitution, c’est-à-dire le risque pouvant résulter de la nécessité de fournir une aide financière à un fournisseur de services en détresse ou de reprendre ses activités commerciales; et
  4. les mesures mises en œuvre par l’établissement ou l’établissement de paiement et par le prestataire de services pour gérer et atténuer les risques.

Pour les  fonctions critiques, il y a lieu de prendre en compte:

  1. une. les risques associés à la sous-traitance, y compris les risques supplémentaires pouvant survenir si le sous-traitant est situé dans un pays tiers ou dans un pays différent de celui du prestataire de services;
  2. le risque que des chaînes de sous-traitance longues et complexes réduisent la capacité des institutions ou des établissements de paiement de superviser la fonction critique ou importante de la sous-traitance et la capacité des autorités compétentes de les superviser efficacement.

Un suivi du prestataire

Lors de la réalisation de l’évaluation des risques avant la sous-traitance et lors du contrôle continu de la performance du prestataire de services, les établissements et les établissements de paiement devraient, au minimum :

  1. identifier et classer les fonctions pertinentes, ainsi que les données et systèmes associés, en ce qui concerne leur sensibilité et les mesures de sécurité requises;
  2. procéder à une analyse approfondie basée sur les risques des fonctions et des données et systèmes connexes dont l’externalisation est envisagée et prendre en compte les risques potentiels, en particulier les risques opérationnels, notamment les risques juridiques, informatiques, de conformité et de réputation, ainsi que la surveillance; les limitations liées aux pays où les services externalisés sont ou peuvent être fournis et où les données sont ou sont susceptibles d’être stockées;
  3. examiner les conséquences de la localisation du prestataire de services (à l’intérieur ou à l’extérieur de l’UE);
  4. examiner la stabilité politique et la situation en matière de sécurité des juridictions en question, notamment:
    • i. les lois en vigueur, y compris les lois sur la protection des données;
    • ii. les dispositions d’application de la loi en place; et
    • iii. les dispositions de la loi sur l’insolvabilité qui s’appliqueraient en cas de défaillance d’un prestataire de services et les éventuelles contraintes liées à la récupération urgente des données de l’institution ou de l’établissement de paiement en particulier;
  5.  définir et décider d’un niveau approprié de protection de la confidentialité des données, de la continuité des activités externalisées, de l’intégrité et de la traçabilité des données et des systèmes dans le contexte de la sous-traitance envisagée. Les établissements et les établissements de paiement devraient également envisager, le cas échéant, des mesures spécifiques concernant les données en transit, les données en mémoire et les données au repos, telles que l’utilisation de technologies de cryptage combinées à une architecture de gestion de clés appropriée;
  6.  déterminer si le prestataire de services est une filiale ou une entreprise mère de l’établissement, s’il est inclus dans le périmètre de consolidation comptable ou si il est membre d’institutions membres d’un système de protection institutionnel ou en est le propriétaire et, si la mesure dans laquelle l’institution la contrôle ou a la capacité d’influencer ses actions conformément à la section 2.

Les dispositions contractuelles

Les lignes directrices (art. 13 ) expose les composantes d’un contrat d’externalisation:

  1. une description claire de la fonction externalisée à assurer;
  2. la date de début et la date de fin, le cas échéant, de la convention et les délais de préavis du prestataire de services et de l’établissement ou de l’établissement de paiement;
  3. la loi applicable de l’accord;
  4. les obligations financières des parties;
  5. si la sous-traitance d’une fonction critique ou importante, ou de parties importantes de celle-ci, est autorisée et, dans l’affirmative, les conditions spécifiées à la section 13.1 auxquelles la sous-traitance est soumise;
  6. le ou les lieux (c.-à-d. les régions ou les pays) où la fonction essentielle ou importante sera assurée et / ou, le cas échéant, les données pertinentes conservées et traitées, y compris le lieu de stockage possible, et les conditions à remplir, y compris l’obligation de notifier l’établissement ou l’établissement de paiement si le prestataire de services propose de changer d’emplacement (s);
  7. le cas échéant, des dispositions concernant l’accessibilité, la disponibilité, l’intégrité, la confidentialité et la sécurité des données pertinentes, comme spécifié à la section 13.2;
  8. le droit de l’institution ou de l’institution de paiement de surveiller en permanence la performance du prestataire de services;
  9. les niveaux de service convenus, qui devraient inclure des objectifs de performance quantitatifs et qualitatifs précis pour la fonction externalisée afin de permettre un contrôle en temps voulu, de sorte que des mesures correctives appropriées puissent être prises sans retard indu si les niveaux de service convenus ne sont pas atteints;
  10. les obligations de déclaration du prestataire de services envers l’établissement ou l’établissement de paiement, y compris la communication par celui-ci de tout développement qui pourrait avoir une incidence importante sur la capacité du prestataire de services à effectuer efficacement la fonction essentielle ou importante qui correspond au service convenu en conformité avec les lois et exigences réglementaires applicables et, le cas échéant, avec l’obligation de soumettre des rapports sur la fonction d’audit interne du prestataire de services;
  11. si le prestataire de services doit souscrire une assurance obligatoire contre certains risques et, le cas échéant, le niveau de couverture requis;
  12. les exigences relatives à la mise en œuvre et au test des plans de secours d’entreprise
  13. des dispositions garantissant l’accès aux données appartenant à l’institution ou à l’établissement de paiement en cas d’insolvabilité, de résolution ou de cessation des activités commerciales du prestataire de services;
  14. l’obligation du prestataire de services de coopérer avec les autorités compétentes et les autorités de résolution de l’établissement ou de l’établissement de paiement, y compris les autres personnes désignées par eux;
  15. pour les institutions, une référence claire aux pouvoirs de l’autorité de résolution nationale, en particulier aux articles 68 et 71 de la directive 2014/59 / UE (BRRD), et en particulier une description des “obligations de fond” du contrat au sens de l’article 68 de cette directive;
  16. le droit sans restriction des établissements, des établissements de paiement et des autorités compétentes d’inspecter et de contrôler le prestataire de services en ce qui concerne en particulier la fonction critique ou importante externalisée, comme spécifié à la section 13.3;
  17. droits de résiliation, comme indiqué à la section 13.4.

Souhaitez-vous échanger sur ce sujet?

Articles de la même thématique

Digitalisez votre manuel de procédures

,
Notre environnement s'accélère, Tout va toujours plus vite. Nous sommes de plus en plus mobiles. Les équipes se renouvellent de plus en plus souvent et la culture des nouvelle génération change, elle est plus ludique, elle est différente. Les procédures sont lourdes, complexes, pas toujours à jours, difficilement accessible. La performance doit être maintenue.BPA et KITA Organisation vous proposent une solution simple, souple et opérationnelle

Matinales: La protection de la clientèle à l'ère du digital

, , ,
La protection de la clientèle devient une obligation de moyens renforcée, voire de résultats dans certaines situations, dans un contexte très évolutif. Il devient urgent d'examiner l'impact de ces changements pour Garder sa clientèle, Attirer de nouveaux clients, Optimiser ses dispositifs de conformité.

Matinales: La compliance à l'ère du digital

La compliance (ou conformité réglementaire) voit son environnement évoluer à vive allure (RGPD, DSP2, DDA, etc) avec l'apparition de nouveaux acteurs purement digitaux. Les technologies s'invitent , avec force, dans la pratique au quotidien (Profilage, Intelligence Artificielle, Blockchain, Signature électronique, ...

Définir le dispositif Compliance du Groupe

,
Le groupe est présent dans 150 pays, coté à la bourse de Paris et de New-York, avec 150 000 collaborateurs.A la demande des Commissaires Aux Comptes, le groupe doit se doter d'un dispositif anti-fraude et de compliance.

Maitriser l'usage de la signature électronique

, , ,
La transformation digitale bouscule les métiers de la banque et la relation client.La signature électronique est un élément clé de cette transformation.Son emploi est soutenu par différents textes de loi., toutefois son emploi nécessite quelques précautions. Cette matinale vous donne les clé pour en maitriser l'usage et adapter vos pratiques et activités de contrôle de la conformité.

Conformité et contrôle interne dans la banque: Les procédures à mettre en place [8892069]

,
Optimiser ses moyens et s'assurer de la pertinence de son dispositifLa conformité et le contrôle interne sont devenus un enjeu majeur pour les banques, dans un contexte de concurrence normative, de régulation et de recherche de rentabilité. Définir l'organisation et mettre en place les contrôles périodiques et permanents adéquats prennent ainsi une place stratégique.

Impacts de la transformation digitale sur la compliance [8792322]

Mesurer les incidences de la digitalisation pour protéger la banqueLes banques sont à l’aube d’une transformation majeure avec la digitalisation des activités bancaires.Les chargés de clientèle vont être des acteurs clés du processus d’optimisation de l’expérience client au travers de nouveaux processus et de nouveaux modèles économiques.

Les nouvelles pratiques commerciales à l'heure du digital 2.0 [C003]

,
Les pratiques commerciales font l'objet de toutes les attentions des régulateurs et des associations de consommateurs pour assurer la protection de la clientèle. Parallèlement, la technologie ouvre des possibilités toujours nouvelles qui font évoluer les attentes et les comportements de la clientèle. Cette formation permet de saisir les nouvelles opportunités technologiques tout en protégeant la clientèle.

Evaluer son dispositif RGPD

, , , , ,
Votre entreprise a mis en place un dispositif protégeant les données personnelles, conforme à la norme RGPD. Etes-vous sûr de sa conformité? Savez-vous comment l'évaluer?